开启授权/解除授权回调通知
更新时间:2024.09.27# 一、回调描述
当商户通过APP/JSAPI/小程序调起支付分授权页面给用户后,用户如果授权了商户支付分服务,微信支付会通过POST的请求方式,向商户预先设置的回调地址发送回调通知,让商户知晓用户已经授权。
回调地址设置方式: 回调地址通过【商户预授权】接口中的“notify_url”参数设置,回调地址的设置规范和回调IP列表请参考文档:回调通知注意事项 。
# 二、回调处理步骤
# 1、商户接收回调通知报文
微信支付会通过POST的方式向回调地址发送回调报文,回调报文的HTTP请求头中会包含报文的签名信息,用于后续验签,具体如下:
| 参数 | 描述 |
|---|---|
| Wechatpay-Serial | 验签的“微信支付平台证书”所对应的平台证书序列号 |
| Wechatpay-Signature | 验签的签名值 |
| Wechatpay-Timestamp | 验签的时间戳 |
| Wechatpay-Nonce | 验签的随机字符串 |
回调通知的请求主体中会包含JSON格式的通知参数,具体的通知参数列表如下:
通知参数
- id 必填【通知ID】回调通知的唯一编号。
- create_time 必填【通知创建时间】回调通知创建的时间,遵循rfc3339标准格式,格式为yyyy-MM-DDTHH:mm:ss+TIMEZONE,yyyy-MM-DD表示年月日,T出现在字符串中,HH:mm:ss表示时分秒,TIMEZONE表示时区(+08:00表示东八区时间,领先UTC 8小时,即北京时间)。例如2015-05-20T13:29:35+08:00表示,北京时间2015年5月20日13点29分35秒。
- event_type 必填【通知类型】微信支付分回调通知的类型1、授权成功通知的类型为PAYSCORE.USER_OPEN_SERVICE2、解除授权成功通知的类型为PAYSCORE.USER_CLOSE_SERVICE
- resource_type 必填【通知数据类型】通知的资源数据类型,固定为encrypt-resource。
- resource 必填【通知数据】通知资源数据,json格式。
- 属性
- summary 必填【回调摘要】微信支付对回调内容的摘要备注。
授权结果通知
1{2 "id":"EV-2018022511223320873",3 "create_time":"2019-07-30T16:36:59+08:00",4 "resource_type":"encrypt-resource",5 "event_type":"PAYSCORE.USER_OPEN_SERVICE",6 "resource" : {7 "algorithm":"AEAD_AES_256_GCM",8 "ciphertext": "...",9 "nonce": "...",10 "associated_data": "",11 },12 "summary": "授权成功"13}# 2、回调验签与应答
商户接收到回调通知报文后,需在5秒内完成对报文的验签,并应答回调通知。
# 2.1、对回调通知进行验签
验签需使用请求头中的【Wechatpay-Timestamp】、【Wechatpay-Nonce】以及请求主体中JSON格式的通知参数构建出验签串,然后使用【Wechatpay-Serial】对应的“微信支付平台证书 (opens new window)”对验签串和【Wechatpay-Signature】进行验签,确保接收的回调内容是来自微信支付。
详细验签步骤请参考:非文件/图片下载如何验证签名 (opens new window)
微信支付会在极少数通知回调中返回以“WECHATPAY/SIGNTEST/”开头的错误【Wechatpay-Signature】,以检测商户系统是否正确验证签名。商户请参考:如何应对签名探测流量 (opens new window) 进行处理。
# 2.2、对回调通知进行应答
商户验签后,根据验签结果对回调进行应答:
验签通过:商户需告知微信支付接收回调成功,HTTP应答状态码需返回200或204,无需返回应答报文。
验签不通过:商户需告知微信支付接收回调失败,HTTP应答状态码需返回5XX或4XX,同时需返回以下应答报文:
- code 必填【返回状态码】
错误码,FAIL为回调接收失败。 - message 选填【返回信息】
返回信息,回调接收失败原因。
应答示例
1{ 2 "code": "FAIL",3 "message": "失败"4}微信支付接收到商户的应答后,会根据应答结果做对应的逻辑处理:
若商户应答回调接收成功,微信支付后续不再发送该回调内容。若因网络或其他原因,商户收到了重复的回调通知,按正常业务流程应答即可。
若商户应答回调接收失败,或超时(5s)未应答时,微信支付会按照(15s/15s/30s/3m/10m/20m/30m/30m/30m/60m/3h/3h/3h/6h/6h)的频次重复发送回调通知,最多发送15次。
# 3、对回调通知内容进行解密
为了保证业务信息的安全性,微信支付将业务信息进行了AES-256-GCM加密,并通过参数resource将加密信息回调给商户,商户需要进行解密后才能获取到业务信息。
解密步骤如下:
- 获取商户平台上设置的APIv3密钥,记为key;
- 通过回调通知参数resource.algorithm确认加密算法(目前仅支持AEAD_AES_256_GCM,算法的接口细节,请参考:rfc5116 (opens new window))。
- 使用key与回调通知参数resource.nonce和resource.associated_data,对数据密文resource.ciphertext进行解密,最终可得到JSON格式的业务信息。
解密示例代码可参考文档:如何解密回调报文 (opens new window)
注意
- 使用Java进行回调解密,取JSON串内的参数值时,只需取引号内的内容进行解密。例:"nonce":"123",只需取值123,不用取加上引号的"123"。
resource解密后字段
- appid 必填【公众账号ID】商户调用预授权接口提交的appid。
- mchid 必填【商户号】调用预授权接口提交的商户号。
- service_id 必填【服务ID】商户调用预授权接口提交的服务ID。
- openid 必填【用户标识】用户在商户对应appid下的唯一标识
- user_service_status 选填【回调状态】回调授权状态USER_OPEN_SERVICE:授权成功 USER_CLOSE_SERVICE:解除授权成功
- openorclose_time 选填【服务开启/解除授权时间】用户授权成功/解除授权成功时间。
- authorization_code 选填【授权协议号】 商户侧预授权时传入的授权协议号。
对resource对象进行解密后,得到的资源对象示例
1{2 "appid": "wxd678efh567hg6787",3 "mchid": "1230000109",4 "service_id": "500001",5 "openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",6 "user_service_status":"USER_CLOSE_SERVICE",7 "openorclose_time":"20180225112233",8 "authorization_code":"1275342195190894594"9}
